A novembre abbiamo diffuso diversi comunicati su una nuova e vasta campagna di spam utilizzata per distribuire Emotet. Considerando la portata dell’attacco in alcuni paesi dell’America Latina e le numerose richieste ricevute nei giorni scorsi, abbiamo deciso di pubblicare una breve spiegazione su come funziona questa campagna.
Negli ultimi anni abbiamo notato come i criminali informatici abbiano approfittato della suite Microsoft Office per diffondere le loro minacce, da semplici macro incorporate nei file fino allo sfruttamento delle vulnerabilità. In questa occasione, tuttavia, la tecnica utilizzata risulta un po’ insolita, infatti viene sfruttato un downloader incorporato in un file di Office. Ciò ha causato confusione tra molti utenti, che ci hanno chiesto di spiegare come funziona la minaccia.
La diffusione inizia con un messaggio di posta elettronica che non ha nulla di particolarmente speciale. Come ci si potrebbe aspettare, se l’utente decide di scaricare l’allegato email e di aprire il documento, questo gli chiede di abilitare le macro.
Chiaramente questo comportamento è già noto per essere pericoloso, tuttavia, il trucco utilizzato dai criminali informatici in questa campagna ha diverse caratteristiche insolite. Se si sceglie di analizzare la macro, si scopre che non è molto grande e, a prima vista, non sembra essere una di quelle conosciute che cercano di connettersi a un sito Web per scaricare del contenuto … ma è davvero così? Osservando il codice della macro, emerge chiaramente che la sua funzione è quella di leggere il testo da un oggetto. Ma dove si trova l’oggetto? Dopo averlo cercato, si scopre che è incorporato in maniera impercettibile nella pagina.
In effetti, questa casella di testo contiene un comando “cmd” che avvia uno script PowerShell che tenta di connettersi a cinque siti per scaricare la propria payload, che in questo caso è una variante offuscata di Emotet.
Come abbiamo discusso in altri precedenti articoli, una volta eseguita la payload, il codice stabilisce la propria persistenza sul computer e la segnala al proprio server C & C. Completata questa infezione iniziale, possono verificarsi ulteriori download, installazione di moduli di attacco e payload secondarie che eseguono altri tipi di azioni sul computer compromesso.
I vari moduli aggiuntivi estendono la gamma di attività dannose in grado di compromettere il dispositivo dell’utente, al fine di sottrarre credenziali, propagarsi sulla rete, raccogliere informazioni sensibili, effettuare port forwarding e molte altre azioni.
Sebbene non sia affatto una tecnica nuova, questo piccolo cambiamento nel modo in cui avviene l’esecuzione di Emotet, nascosto nel file Word, dimostra quanto possano essere subdoli i criminali informatici quando si tratta di celare le loro attività dannose e cercare di compromettere le informazioni degli utenti.